AI tillämpas allt mer inom vården för diagnosstöd, behandlingsplanering och prediktion av vårdutfall. Men med stor innovationskraft kommer också ett växande regelverk. För tech-leverantörer som utvecklar eller tillhandahåller AI-system inom hälsosektorn är det avgörande att både juridiskt och tekniskt förstå vad som faktiskt krävs – både enligt GDPR och enligt den nya AI-förordningen.

Två regelverk – dubbla krav

Vid hantering av patientdata gäller GDPR:s regler fullt ut – vilket ställer särskilda krav avseende rättslig grund, ändamålsbegränsning, informationsskyldighet samt säkerhetsåtgärder för behandling av känsliga personuppgifter. När AI introduceras i dessa sammanhang tillkommer ytterligare regulatoriska krav.

EU:s nya AI-förordning trädde i kraft i juni 2024 och börjar gälla stegvis från februari 2025, med full tillämpning från augusti 2026. Den innebär att många AI-system inom vården kommer att klassificeras som ’högrisk-system’. Detta medför specifika krav för utvecklare och leverantörer, exempelvis:

  • Omfattande dokumentation av träningsdata, algoritmiska metoder och systematisk riskhantering
  • Transparenskrav – slutanvändaren måste kunna förstå och tolka systemets funktionalitet samt beslutsfaktorer
  • Tydliga mekanismer för mänsklig översyn, ingripande och spårbarhet i alla led
  • Implementering av kvalitetssäkringssystem och kontinuerliga övervakningsrutiner för att identifiera och åtgärda brister

Detta kommer ställa betydande krav på intern styrning, detaljerad teknisk dokumentation och tydlig ansvarsfördelning – särskilt kritiskt för organisationer som redan idag har AI-lösningar i klinisk användning eller marknadsför sådana till vårdgivare. Bristande regelefterlevnad kan innebära både juridiska påföljder och förtroendeförlust på marknaden.

Ett konkret exempel

Tänk er ett medtech-bolag som erbjuder ett AI-baserat beslutsstöd för att identifiera tidiga tecken på stroke i akutsjukvård. Verktyget har tränats på historisk patientdata och levererar bedömningsunderlag i realtid. I denna situation måste bolaget hantera flera regelverkskrav parallellt:

  • GDPR-frågor: Vilken roll har bolaget – personuppgiftsbiträde eller personuppgiftsansvarig? Vilken rättslig grund åberopas för databehandlingen? Är samtycke nödvändigt eller kan annan grund tillämpas? Hur uppfylls informationsplikten gentemot patienter?
  • AI-frågor: Hur säkerställs datakvalitet och bias-minimering i träningsdata? Kan systemets beslutsprocess förklaras på ett begripligt sätt för vårdpersonal? Hur dokumenteras modellens prestanda och ändringar över tid? Finns rutiner för mänsklig översyn av kritiska beslut?

Vårt råd

Många organisationer arbetar idag med AI-lösningar som kommer att omfattas av AI-förordningen utan att ha implementerat nödvändiga rutiner eller dokumentation. Med tanke på att efterlevnadskraven kommer gradvis från februari 2025 är tiden för förberedelser knapp. Vi rekommenderar att: (1) inventera nuvarande AI-användning, (2) kartlägga ansvarsroller och dataflöden, (3) granska avtalsstrukturer med kunder och partners, (4) bedöma om era AI-system tillhör någon riskkategori enligt förordningen, samt (5) utarbeta en konkret handlingsplan för regelefterlevnad med fokus på dokumentation, riskhantering och transparens.

Vi hjälper gärna till att navigera i detta komplexa regulatoriska landskap.

Dela med dig.

Relaterade artiklar

Licensiering som strategi – nyckeln till affärsresiliens i en osäker värld

4 juni, 2025

Defensiv publicering – ett strategiskt alternativ till patentansökan

27 maj, 2025

Insikter och vägledning för företag som vill undvika greenwashing

20 maj, 2025

Navigera geopolitiken – med IP som affärsstrategiskt verktyg

6 maj, 2025